logo
搜索
我的图书馆

发文章

发文工具

其他工具

留言交流
搜索
分享

上百个GPS定位服务被曝漏洞,用户信息面临暴露风险

 E安全 2020-09-01

更多全球网络安全资讯尽在E安全官网www.


E安全1月5日讯 联网汽车安全问题又一次爆发!两名研究人员披露,上百款GPS和定位跟踪服务因使用简单易猜的默认密码(123456)和开放式API接口,导致其位置跟踪设备记录的信息存在暴露风险。除此之外,GPS和定位跟踪服务可能受到不安全的直接对象引用(IDOR)等漏洞的影响,将允许未经授权的第三方存取存放于服务中的资料,研究人员将这些漏洞统称为“Trackmageddon”。

这些安全问题可能暴露的信息包括:GPS坐标、电话号码、设备数据(IMEI、序列号、MAC地址等)、自定义分配名称,录音和图像以及其他个人数据。

哪些GPS位置追踪服务受影响?

这些GPS跟踪服务是从启用GPS的智能设备中收集地理位置数据的基本数据库,例如宠物追踪器、汽车追踪器、儿童跟踪器等设备。这些服务以设备为单位收集数据,并存储在数据库中。产品制造商将这些服务作为其智能设备的附带解决方案。

研究人员不确定他们发现了所有的脆弱域名,因为可能还有其他网站暴露数据。

这两名研究人员2017年11月就开始不断尝试与受影响的定位跟踪服务提供商取得联系,但收效甚微,只有4家公司修复漏洞。许多定位跟踪服务未在网站预留联系信息,不排除是中间商的可能性,所以问题或更加复杂,这增加了私下披露漏洞的难度。

研究人员举例称,涉及图像和录音时,查看受影响服务网站上的开放目录,信息就会曝光。鉴于这类数据关乎到用户的敏感信息,研究人员选择公开披露。

第一个做出回应并快速解决问题的是中间商 One2Track。

此后ThinkRace公司——GPS追踪设备的最大供应商之一/位置跟踪在线服务和软件的原始开发者——最终同意在公开信息发布前几个小时,修复了四个域名。

ThinkRace为一专门生产以安全及健身为导向的追踪产品,从个人用的GPS追踪器、GPS手表、GPS卡、宠物追踪器、单车追踪器、汽车追踪器到健身手环等,也替全球逾30个国家的企业、电信业者或政府提供代工服务。

受影响的服务及修复情况

以下4个服务已修复漏洞:

  • https://www. (2017年11月27日修复)

  • http:// ((2017年11月27日修复)

  • http://www. ((2017年11月27日修复)

  • http://tr. (2017年12月18日修复,子域名已移除)

多个在线服务不再受研究人员的PoC代码影响,但由于研究人员未收到厂商的修复通知,因此结果无法确定。

  • http://www. ( 域名于2017年11月30日过期)

  • http://www. (API返回错误)

  • http://app. (仅API访问受限)

  • http://gps. (整个页面返回错误代码500)

  • http:// (服务器超时)

  • http://www. (服务器超时)

  • http:// (API似乎只返回空数据)

  • http://www. (API返回错误)

  • http://www. (API返回错误)

  • http://www. (API返回错误)

  • http://www. (API返回错误)

  • http://www. (API返回错误)

  • http://www. (API返回错误)

  • http://www. (API返回错误)

  • http://kids. (修复)

提供商声称将在2018年1月2日16:00修复漏洞:

  • http://manage. (partially fixed between 2017-12-15 and 2017-12-22, only API access restricted)

  • http://grapi. (partially fixed on 2018-01-02, API access restricted)

  • http://

  • http://www.

  • http://love.

未修复的在线服务如下:

  • http://www.

  • http://m.

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://

  • http://www.

  • http://greatwill.

  • http://www.

  • http://car.

  • http://carm.

  • http://watch.

  • http://www.

  • http://www.

  • http://www.

  • http://binding.

  • http://chile.

  • http://portal.

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://login.

  • http://www.

  • http://

  • http://www.

  • http://tracker.

  • http://www.

  • http://

  • http://www.

  • http://www.

  • http://www.

  • http://

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://

  • http://

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://

  • http://gps.

  • http://gps.

  • http://

  • http://

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://www.

  • http://2.

  • http://

  • http://www.

  • http://www.

  • http://vip.

  • http://www.

  • http://www.

  • http://

  • http://gps.

  • http://www.

  • http://www.

  • http://en.

  • http://en.

  • http://

  • http://en2.

  • http://ry.

  • http://www.

  • http://classic.

  • http://www.

  • http://

  • http://

我使用的设备受到影响,该怎么办?

研究人员建议用户修改密码,尽可能多地从设备和定位跟踪服务删除数据。为了避免进一步泄露数据,用户还可选择停止使用受影响的设备。

注:本文由E安全编译报道,转载请注明原文地址

https://www./news/729077847.shtml

    转藏 分享 献花(0

    来自: E安全 > 《待分类》

    举报/认领

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多